シングル サインオンの手法として Shibboleth 2.0 を使用する方法について調べています。私が持っている混乱の 1 つは、ID プロバイダー (IdP) がサービス プロバイダー (SP) に、ログインしているユーザーを正確に Web アプリに示すことができる電子メール属性を送信できるかどうかです。
たとえば、ユーザー Joe が、電子メール joe@acme.com で IdP に登録 (ユーザー作成/パスなど) するように指示され、アプリケーションが joe@acme.com を一意に識別できる場合、IdP からの認証応答はは、1.) はい、この人物は本人であり、2.) 彼のメール アドレスは joe@acme.com であることを示します。
Shibboleth フェデレーションにおける SSO の主な利点は、Joe が IdP で選択した特定のユーザー名とパスワードについてアプリケーションが何も知る必要がないことです。本当?もしそうなら、これは良い設計ですか、またはそのようなシステムを作ることのリスクと考慮事項は何ですか.
これが適切な設計でない場合、一般的な代替手段は何ですか?
私のアプリケーションでは、私は SSL の背後にあり、すべての個人の電子メールは既知であり、一意です。ありがとう。